Google hat Kunden, die seine Compute Engine nutzen, informiert, dass sie neue Schlüssel für Dienste generieren sollten, die OpenSSL nutzen. Das steht in einem heute aktualisierten Blogeintrag über die OpenSSL-Sicherheitslücke Heartbleed. Als Grund nennt Google unspezifizierte „neue Erkenntnisse“. Für die Google Search Appliance wird immer noch an Patches gearbeitet.
Der Blogeintrag von Matthew O’Connor stammt ursprünglich vom 9. April. Er meldete, dass Google prompt auf Hertbleed reagiert und eine Reihe Dienste gepatcht hatte: Suche, Gmail, YouTube, Wallet, Play, Apps, App Engine, AdWords, DoubleClick, Maps, Maps Engine, Earth, Analytics und Tag Manager. Am 12. April gab es ein Update, das Fixes für Google AdWords, DoubleClick, Maps, Maps Engine und Earth meldete.
Die heutige Ergänzung weist auch darauf hin, dass für die Google Search Appliance neue Schlüssel generiert werden sollten, sobald ein Patch vorliegt. Dies ist allerdings weiter nicht der Fall.
Die Heartbleed-Lücke CVE-2014-0160 steckt in OpenSSL 1.01 und 1.02 beta. Dieses Programm kommt vor allem auf Web- und E-Mail-Servern, in VPN-Systemen und auch in bestimmten Client-Anwendungen zum Einsatz.
In Googles Fall ist auch Android 4.1.1 betroffen, Google zufolge jedoch keine andere Android-Variante. Google hat nach eigenen Angaben Patch-Informationen zu Android 4.1.1 an seine Partner verschickt.
Nutzer dieser Android-Version sollten wenn möglich auf eine höhere Version umsteigen – etwa durch Nutzung eines Custom ROM, falls der Gerätehersteller keine Updates mehr anbietet. Auf Client-Seite empfiehlt das SANS Institute allgemein „keine Panik“. Neue Passwörter „können nicht schaden“. Passwortwechsel sind vor allem für Clouddienste wie E-Mail und Social Networks anzuraten, sofern diese inzwischen die Lücke gepatcht und neue Zertifikate erstellt haben.
[mit Material von Larry Dignan, ZDNet.com]
Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.